Académique Documents
Professionnel Documents
Culture Documents
Filtro de informacin
Firewalls
Dispositivo hardware o software Filtra trfico TCP/UDP/IP/ICMP Protege una red de otra expuesta Intil si el sistema donde se instala es vulnerable Necesario desactivar servicios innecesarios Se suele ubicar en el nivel ms exterior
2
Firewalls
Los Firewalls NO proporcionan seguridad absoluta. Son un mecanismo ms, y deben combinarse con otras medias de seguridad, tanto en redes como en sistemas operativos, para hacer el sistema lo ms seguro posible. La nica seguridad absoluta es aislar la mquina.
3
Firewalls
Un firewall no detecta
Ataques internos Formas de ataques desconocidas Virus Filtros : bloquear selectivamente los paquetes Nodos bastion : Ordenadores altamente seguros expuestos directamente a internet.
4
Firewalls
Describa para que es el servicio Describa el grupo de personas a las que va dirigido el servicio Describa a que servicio necesita acceder cada grupo Describa para cada grupo de servicio como se puede mantener seguro el servicio Redacte un informe en el que se considere violacin cualquier otro tipo de acceso
5
Firewalls
Poltica por defecto ACEPTAR Todo lo que venga de la red local al firewall ACEPTAR Todo lo que venga al puerto TCP 80 ACEPTAR Todo lo que venga al puerto TCP 25 ACEPTAR Todo lo que venga al puerto TCP 110 ACEPTAR Todo lo que venga al puerto UDP 53 ACEPTAR Todo lo que venga de la red local al exterior ENMASCARAR Todo lo que venga del puerto TCP 1 al 1024 DENEGAR Todo lo que venga del puerto UDP 1 al 1024 DENEGAR
Firewalls
Aceptar todo por defecto. Fcil de implementar pero peligrosa. Denegar todo por defecto. El firewall es un muro aunque ms difcil de configurar.
IMPORTANTE : El orden en que se introducen las reglas es fundamental ya que las reglas se chequean por orden.
7
Firewalls
Ipchains e Iptables son los firewalls implementados en los ncleos de los sistemas Linux. Ipchains est en desuso y la que se implementa en versiones desde la 2.4 como un servicio es iptables. Ejecutando iptables en la linea de comandos introducimos reglas que indicarn acciones a tomar ante recepcin de paquetes
8
Firewalls
Filtrado : INPUT, OUTPUT, FORWARD Redireccin : PREROUTING, POSTROUTING Modificacin de paquetes : MANGLE -A aadir una regla - I inserta en una posicin determinada -R reemplazar en una posicin determinada -D eliminar una regla determinada Reject Aceptar Drop Denegar
Acciones
Firewalls
Filtrado de paquetes
N regla Direccin Tipo : TCP/UDP IP Fuente Puerto Fuente IP Destino Puerto Destino Accin
10
Firewalls
Netstat an : Ver los servicios activos en el sistema para empezar a planificar el firewall. Tambin se puede usar nmap. Iptables L n : verificar las reglas aplicadas. IPtraf : programa prctico para chequear el firewall mostrando el trfico que atraviesa la mquina.
11
Firewalls
12
Firewalls
13
Firewalls
#Redirigir a una ip por ejemplo para usar radmin iptables t nat A PREROUTING s 1.2.3.4 i eth0 p tcp dport 4899 j DNAT to 192.168.0.5:4899 #El localhost lo dejamos como esta /Sbin/iptables A INPUT i lo j ACCEPT #A nuestra ip le permitimos todo eth0 va al router y eth1 a la LAN iptables A INPUT s 192.168.0.0/24 i eth1 j ACCEPT #Filtrar el acceso a la red con FORWARD #Aceptamos accesos a la web iptables A FORWARD s 192.168.0.0/24 i eth1 p tcp dport 80 j ACCEPT iptables A FORWARD s 192.168.0.0/24 i eth1 p tcp dport 443 j ACCEPT
14
Firewalls
#Abrir el Puerto SMPT y POP3 iptables A INPUT s 0.0.0.0/0 p tcp dport 25 j ACCEPT iptables A INPUT s 0.0.0.0/0 p tcp dport 110 j ACCEPT #Permitimos red privada virtual iptables A INPUT s 1.2.3.4 p tcp dport 1723 j ACCEPT #Aceptar consultas al DNS iptables A FORWARD s 192.168.0.0/24 i eth1 p tcp dport 53 j ACCEPT iptables A FORWARD s 192.168.0.0/24 i eth1 p udp dport 53 j ACCEPT #Se deniega el resto iptables A FORWARD s 192.168.0.0/24 i eth1 j DROP
15
Firewalls
#Enmascarar y activar bit forwarding iptables t nat A POSTROUTING s 192.168.0.0/24 o eth0 j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward #El resto se cierra rango bien conocidos 0.0.0.0 significa cualquier red iptables A INPUT s 0.0.0.0/0 p tcp dport 1:1024 j DROP iptables A INPUT s 0.0.0.0/0 p udp dport 1:1024 j DROP #cerrar el Puerto de gestion webmin iptables A INPUT s 0.0.0.0/0 -p tcp dport 10000 j DROP # Cerrar la red virtual iptables A INPUT s 0.0.0.0/0 i eth0 p tcp dport 1723 j DROP
16
Proxys
Acta en nombre de los clientes Cach para optimizar el ancho de banda Controla el trfico hacia el exterior Permite registrar todo lo que hagan los usuarios El ms usado es el proxy http. SQUID es el paquete usado como proxy en sistemas Linux.
17
Proxys
Configuracin Bsica
Fichero /etc/squid/squid.conf http_port ip:puerto : Direccin y puerto por el que escuchar el proxy. Cache_dir : tamao de la cach. Reference_age : tiempo que se mantendrn en cach los objetos almacenados. (1 mes lo ms razonable).
18
Proxys
AntiSpam
Filtrado de cabeceras:
Colocar en un fichero ej. Check_cabeceras /^Subject: Re: Your password!/ Header_checks = regexp:/ruta/check_cabeceras Colocar en un fichero
/Accept credit cards/ REJECTS /Nude Celebrities/ REJECTS
Filtrado de contenido:
Body_checks = regexp:/ruta/check_body
20
AntiSpam
Amavisd-new : (A mail virus scanner). Postfix entrega el correo a amavisd por un puerto para chequearlo y este lo devuelve a postfix por otro puerto. Preparado para actuar con spamassassin. El fichero de configuracin es el /etc/amavisd/amavisd.conf y apenas es necesario modificarlo.
21
AntiSpam
Spamassassin : aplicacin que punta a los correos. Si superan una serie de pruebas se le aade puntos Si supera un umbral de puntos se le considerar Spam. Incluye filtros bayesianos para aprender de los correos recibidos. (falsos/positivos y viceversa) Puede ser preconfigurado con /etc/mail/spammassassin/local.cf
22
AntiSpam
/etc/postfix/master.cf smtp-amavis amavis-smtp unix y 2 -o smtp_data_done_timeout=1200s -o smtp_never_send_ehlo=yes -o disable_dns_lookups=yes localhost:10025 inet n y smtpd -o content_filter= -o local_recipient_maps= -o smtpd_helo_restrictions= -o smtpd_client_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks=127.0.0.1/24 -o strict_rfc821_envelopes=yes
smtp
23
AntiSpam
/etc/postfix/main.cf content_filter = smtp-amavis:(127.0.0.1):10024 smtpd_recipient_restrictions = reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unauth_pipeling check_client_access hash:/etc/postfix/mynetworks, permit_mynetworks, reject_unauth_destination
24
AntiSpam
Para que amavisd-new haga uso de spamassassin debemos cerciorarnos de que no existe esta lnea en el fichero de configuracin de amavisd-new
@bypass_spam_checks_acl = qw( . ); )
25
AntiSpam
$daemon_user =amavis; $daemon_group=amavis; $mydomain = pepe-informatica.com; $forward_method= smtp:127.0.0.1:10025 $notify_method = $forward_method; $final_spam_destiny = D_PASS; $sa_tag_level_deflt = 4.0; $sa_Tag2_level_deflt = 5.0; $sa_kill_level_deflt = $sa_tag2_level_deftl; [clam antivirus-clamd, \&ask_daemon, [CONTSCAN {}\n, /var/run/clamav/clamd.ctl], qr/\bOK$/, qr/\bFOUND$/, qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
26